关于java:Spring-Security中实现微信网页授权

54次阅读

共计 11537 个字符,预计需要花费 29 分钟才能阅读完成。

微信公众号提供了微信领取、微信优惠券、微信 H5 红包、微信红包封面等等促销工具来帮忙咱们的利用拉新保活。然而这些福利要想正确地发放到用户的手里就必须拿到用户特定的(微信利用)微信标识 openid 甚至是用户的微信用户信息。如果用户在微信客户端中拜访咱们第三方网页,公众号能够通过微信网页受权机制,来获取用户根本信息,进而实现业务逻辑。明天就联合 Spring Security 来实现一下微信公众号网页受权。

环境筹备

在开始之前咱们须要筹备好微信网页开发的环境。

微信公众号服务号

请留神,肯定是 微信公众号服务号 ,只有 服务号 才提供这样的能力。像胖哥的这样公众号尽管也是认证过的公众号,然而只能发发文章并不具备提供服务的能力。然而微信公众平台提供了沙盒性能来模仿服务号,能够升高开发难度,你能够到微信公众号测试账号页面申请,申请胜利后别忘了关注测试公众号。

微信公众号服务号只有企事业单位、政府机关能力开明。

内网穿透

因为微信服务器须要回调开发者提供的回调接口,为了可能本地调试,内网穿透工具也是必须的。启动内网穿透后,须要把内网穿透工具提供的 虚构域名 配置到微信测试帐号的回调配置中

关上后 只须要填写域名,不要带协定头。例如回调是https://felord.cn/wechat/callback,只能填写成这样:

而后咱们就能够开发了。

OAuth2.0 客户端集成

基于 Spring Security 5.x

微信网页受权的文档在网页受权,这里不再赘述。咱们只聊聊如何联合 Spring Security 的事。微信网页受权是通过 OAuth2.0 机制实现的,在用户受权给公众号后,公众号能够获取到一个网页受权特有的接口调用凭证(网页受权 access_token),通过网页受权取得的access_token 能够进行受权后接口调用,如获取用户的根本信息。

咱们须要引入 Spring Security 提供的 OAuth2.0 相干的模块:

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>

因为咱们须要获取用户的微信信息,所以要用到OAuth2.0 Login;如果你用不到用户信息能够抉择OAuth2.0 Client

微信网页受权流程

接着依照微信提供的流程来联合 Spring Security。

获取受权码 code

微信网页受权应用的是 OAuth2.0 的受权码模式。咱们先来看如何获取受权码。

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 

这是微信获取 codeOAuth2.0端点模板,这不是一个纯正的 OAuth2.0 协定。微信做了一些参数上的变动。这里原生的 client_id 被替换成了appid,而且开端还要加#wechat_redirect 。这无疑减少了集成的难度。

这里先放一放,咱们指标转向 Spring Securitycode获取流程。

Spring Security会提供一个模版链接:

{baseUrl}/oauth2/authorization/{registrationId}

当应用该链接申请 OAuth2.0 客户端时会被 OAuth2AuthorizationRequestRedirectFilter 拦挡。机制这里不讲了,在我集体博客 felord.cn 中的 Spring Security 实战干货:客户端 OAuth2 受权申请的入口 一文中有具体论述。

拦挡之后会依据配置组装获取受权码的申请 URL,因为微信的不一样所以咱们针对性的定制,也就是革新 OAuth2AuthorizationRequestRedirectFilter 中的OAuth2AuthorizationRequestResolver

自定义 URL

因为 Spring Security 会依据模板链接去组装一个链接而不是咱们填参数就行了,所以须要咱们对构建 URL 的处理器进行自定义。

/**
 * 兼容微信的 oauth2 端点.
 *
 * @author n1
 * @since 2021 /8/11 17:04
 */
public class WechatOAuth2AuthRequestBuilderCustomizer {
   private static final String WECHAT_ID= "wechat";

    /**
     * Customize.
     *
     * @param builder the builder
     */
    public static void customize(OAuth2AuthorizationRequest.Builder builder) {String regId = (String) builder.build()
               .getAttributes()
               .get(OAuth2ParameterNames.REGISTRATION_ID);
       if (WECHAT_ID.equals(regId)){builder.authorizationRequestUri(WechatOAuth2RequestUriBuilderCustomizer::customize);
       }
    }

    /**
     * 定制微信 OAuth2 申请 URI
     *
     * @author n1
     * @since 2021 /8/11 15:31
     */
    private static class WechatOAuth2RequestUriBuilderCustomizer {

        /**
         * 默认状况下 Spring Security 会生成受权链接:* {@code https://open.weixin.qq.com/connect/oauth2/authorize?response_type=code
         * &client_id=wxdf9033184b238e7f
         * &scope=snsapi_userinfo
         * &state=5NDiQTMa9ykk7SNQ5-OIJDbIy9RLaEVzv3mdlj8TjuE%3D
         * &redirect_uri=https%3A%2F%2Fmovingsale-h5-test.nashitianxia.com}
         * 短少了微信协定要求的 {@code #wechat_redirect},同时 {@code client_id} 应该替换为{@code app_id}
         *
         * @param builder the builder
         * @return the uri
         */
        public static URI customize(UriBuilder builder) {String reqUri = builder.build().toString()
                    .replaceAll("client_id=", "appid=")
                    .concat("#wechat_redirect");
            return URI.create(reqUri);
        }
    }
}

配置解析器

把下面个性化革新的逻辑配置到OAuth2AuthorizationRequestResolver:

/**
 * 用来从 {@link javax.servlet.http.HttpServletRequest} 中检索 Oauth2 须要的参数并封装成 OAuth2 申请对象{@link OAuth2AuthorizationRequest}
 *
 * @param clientRegistrationRepository the client registration repository
 * @return DefaultOAuth2AuthorizationRequestResolver
 */
private OAuth2AuthorizationRequestResolver oAuth2AuthorizationRequestResolver(ClientRegistrationRepository clientRegistrationRepository) {
    DefaultOAuth2AuthorizationRequestResolver resolver = new DefaultOAuth2AuthorizationRequestResolver(clientRegistrationRepository,
            OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI);
    resolver.setAuthorizationRequestCustomizer(WechatOAuth2AuthRequestBuilderCustomizer::customize);
    return resolver;
}

配置到 Spring Security

适配好的 OAuth2AuthorizationRequestResolver 配置到HttpSecurity, 伪代码:

    httpSecurity.oauth2Login()
                //  定制化受权端点的参数封装
                .authorizationEndpoint().authorizationRequestResolver(authorizationRequestResolver)

通过 code 换取网页受权 access_token

接下来第二步是用 code 去换token

构建申请参数

这是微信网页受权获取 access_token 的模板:

GET https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

其中前半段 https://api.weixin.qq.com/sns/oauth2/refresh_token 能够通过配置 OAuth2.0 的 token-uri 来指定;后半段参数须要咱们针对微信进行定制。Spring Security中定制 token-uri 的工具由 OAuth2AuthorizationCodeGrantRequestEntityConverter 这个转换器负责,这里须要来革新一下。

咱们先拼接参数:

    private MultiValueMap<String, String> buildWechatQueryParameters(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {
        // 获取微信的客户端配置
        ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
        OAuth2AuthorizationExchange authorizationExchange = authorizationCodeGrantRequest.getAuthorizationExchange();
        MultiValueMap<String, String> formParameters = new LinkedMultiValueMap<>();
        // grant_type
        formParameters.add(OAuth2ParameterNames.GRANT_TYPE, authorizationCodeGrantRequest.getGrantType().getValue());
        // code
        formParameters.add(OAuth2ParameterNames.CODE, authorizationExchange.getAuthorizationResponse().getCode());
        // 如果有 redirect-uri
        String redirectUri = authorizationExchange.getAuthorizationRequest().getRedirectUri();
        if (redirectUri != null) {formParameters.add(OAuth2ParameterNames.REDIRECT_URI, redirectUri);
        }
        //appid
        formParameters.add("appid", clientRegistration.getClientId());
        //secret
        formParameters.add("secret", clientRegistration.getClientSecret());
        return formParameters;
    }

而后生成 RestTemplate 的申请对象RequestEntity:

    @Override
    public RequestEntity<?> convert(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
        HttpHeaders headers = getTokenRequestHeaders(clientRegistration);


        String tokenUri = clientRegistration.getProviderDetails().getTokenUri();
        // 针对微信的定制  WECHAT_ID 示意为微信公众号专用的 registrationId
        if (WECHAT_ID.equals(clientRegistration.getRegistrationId())) {MultiValueMap<String, String> queryParameters = this.buildWechatQueryParameters(authorizationCodeGrantRequest);
            URI uri = UriComponentsBuilder.fromUriString(tokenUri).queryParams(queryParameters).build().toUri();
            return RequestEntity.get(uri).headers(headers).build();}
        // 其它 客户端
        MultiValueMap<String, String> formParameters = this.buildFormParameters(authorizationCodeGrantRequest);
        URI uri = UriComponentsBuilder.fromUriString(tokenUri).build()
                .toUri();
        return new RequestEntity<>(formParameters, headers, HttpMethod.POST, uri);
    }

这样兼容性就革新好了。

兼容 token 返回解析

微信公众号受权 token-uri 的返回值尽管文档说是个 json,可它喵的Content-Typetext-plain。如果是 application/jsonSpring Security 就间接接管了。你说微信坑不坑?咱们只能再写个适配来正确的反序列化微信接口的返回值。

Spring Security 中对 token-uri 的返回值的解析转换同样由 OAuth2AccessTokenResponseClient 中的 OAuth2AccessTokenResponseHttpMessageConverter 负责。

首先减少 Content-Typetext-plain的适配;其次因为 Spring Security 接管 token 返回的对象要求必须显式申明 tokenType,而微信返回的响应体中没有,咱们一律指定为OAuth2AccessToken.TokenType.BEARER 即可兼容。代码比较简单就不放了,有趣味能够去看我给的 DEMO。

配置到 Spring Security

先配置好咱们下面两个步骤的申请客户端:

    /**
     * 调用 token-uri 去申请受权服务器获取 token 的 OAuth2 Http 客户端
     *
     * @return OAuth2AccessTokenResponseClient
     */
    private OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> accessTokenResponseClient() {DefaultAuthorizationCodeTokenResponseClient tokenResponseClient = new DefaultAuthorizationCodeTokenResponseClient();
        tokenResponseClient.setRequestEntityConverter(new WechatOAuth2AuthorizationCodeGrantRequestEntityConverter());

        OAuth2AccessTokenResponseHttpMessageConverter tokenResponseHttpMessageConverter = new OAuth2AccessTokenResponseHttpMessageConverter();
        // 微信返回的 content-type 是 text-plain
        tokenResponseHttpMessageConverter.setSupportedMediaTypes(Arrays.asList(MediaType.APPLICATION_JSON,
                MediaType.TEXT_PLAIN,
                new MediaType("application", "*+json")));
        // 兼容微信解析
        tokenResponseHttpMessageConverter.setTokenResponseConverter(new WechatMapOAuth2AccessTokenResponseConverter());

        RestTemplate restTemplate = new RestTemplate(Arrays.asList(new FormHttpMessageConverter(),
                        tokenResponseHttpMessageConverter
                ));

        restTemplate.setErrorHandler(new OAuth2ErrorResponseErrorHandler());
        tokenResponseClient.setRestOperations(restTemplate);
        return tokenResponseClient;
    }

再把申请客户端配置到HttpSecurity

   // 获取 token 端点配置  比方依据 code 获取 token               
httpSecurity.oauth2Login()
   .tokenEndpoint().accessTokenResponseClient(accessTokenResponseClient)

依据 token 获取用户信息

微信公众号网页受权获取用户信息须要 scope 蕴含snsapi_userinfo

Spring Security 中定义了一个 OAuth2.0 获取用户信息的形象接口:

@FunctionalInterface
public interface OAuth2UserService<R extends OAuth2UserRequest, U extends OAuth2User> {U loadUser(R userRequest) throws OAuth2AuthenticationException;

}

所以咱们针对性的实现即可,须要实现三个相干概念。

OAuth2UserRequest

OAuth2UserRequest是申请 user-info-uri 的入参实体,蕴含了三大块属性:

  • ClientRegistration 微信 OAuth2.0 客户端配置
  • OAuth2AccessTokentoken-uri 获取的 access_token 的形象实体
  • additionalParameters 一些 token-uri 返回的额定参数,比方 openid 就能够从这外面获得

依据微信获取用户信息的端点 API 这个能满足需要,不过须要留神的是。如果应用的是 OAuth2.0 Client 就无奈从 additionalParameters 获取 openid 等额定参数。

OAuth2User

这个用来封装微信用户信息,细节看上面的正文:

/**
 * 微信受权的 OAuth2User 用户信息
 *
 * @author n1
 * @since 2021/8/12 17:37
 */
@Data
public class WechatOAuth2User implements OAuth2User {
    private String openid;
    private String nickname;
    private Integer sex;
    private String province;
    private String city;
    private String country;
    private String headimgurl;
    private List<String> privilege;
    private String unionid;


    @Override
    public Map<String, Object> getAttributes() {
        // 本来返回前端 token 然而微信给的 token 比拟敏感 所以不返回
        return Collections.emptyMap();}

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        // 这里放 scopes 或者其它你业务逻辑相干的用户权限集 目前没有什么用
        return null;
    }

    @Override
    public String getName() {
        // 用户惟一标识比拟适合,这个不能为空啊,如果你能保障 unionid 不为空,也是不错的抉择。return openid;
    }
}

留神: getName()肯定不能返回null

OAuth2UserService

参数 OAuth2UserRequest 和返回值 OAuth2User 都筹备好了,就剩下去申请微信服务器了。借鉴申请 token-uri 的实现,还是一个 RestTemplate 调用,外围就这几行:

LinkedMultiValueMap<String, String> queryParams = new LinkedMultiValueMap<>();
// access_token
queryParams.add(OAuth2ParameterNames.ACCESS_TOKEN, userRequest.getAccessToken().getTokenValue());
// openid
queryParams.add(OPENID_KEY, String.valueOf(userRequest.getAdditionalParameters().get(OPENID_KEY)));
// lang=zh_CN
queryParams.add(LANG_KEY, DEFAULT_LANG);
// 构建 user-info-uri 端点
URI userInfoEndpoint = UriComponentsBuilder.fromUriString(userInfoUri).queryParams(queryParams).build().toUri();
// 申请
return this.restOperations.exchange(userInfoEndpoint, HttpMethod.GET, null, OAUTH2_USER_OBJECT);

配置到 Spring Security

// 获取用户信息端点配置  依据 accessToken 获取用户根本信息
httpSecurity.oauth2Login()
      .userInfoEndpoint().userService(oAuth2UserService);

这里补充一下,写一个受权胜利后跳转的接口并配置为受权登录胜利后的跳转的 url。

// 默认跳转到 /  如果没有会 404 所以弄个了接口
httpSecurity.oauth2Login().defaultSuccessUrl("/weixin/h5/redirect")

在这个接口里能够通过 @RegisteredOAuth2AuthorizedClient@AuthenticationPrincipal别离拿到认证客户端的信息和用户信息。

@GetMapping("/h5/redirect")
public void sendRedirect(HttpServletResponse response,
                         @RegisteredOAuth2AuthorizedClient("wechat") OAuth2AuthorizedClient authorizedClient,
                         @AuthenticationPrincipal WechatOAuth2User principal) throws IOException {
    //todo 你能够再这里模仿一些受权后的业务逻辑 比方用户静默注册 等等

    // 以后认证的客户端 token 不要裸露给前台
    OAuth2AccessToken accessToken = authorizedClient.getAccessToken();
    System.out.println("accessToken =" + accessToken);
    // 以后用户的 userinfo
    System.out.println("principal =" + principal);
    response.sendRedirect("https://felord.cn");
}

到此微信公众号受权就集成到 Spring Security 中了。

相干配置

application.yaml相干的配置:

spring:
  security:
    oauth2:
      client:
        registration:
          wechat:
            # 能够去试一下沙箱
            # 公众号服务号 appid
            client-id: wxdf9033184b2xxx38e7f
            # 公众号服务号 secret
            client-secret: bf1306baaa0dxxxxxxb15eb02d68df5
            # oauth2 login 用 '{baseUrl}/login/oauth2/code/{registrationId}' 会主动解析
            # oauth2 client 写你业务的链接即可
            redirect-uri:  '{baseUrl}/login/oauth2/code/{registrationId}'
            authorization-grant-type: authorization_code
            scope: snsapi_userinfo
        provider:
          wechat:
            authorization-uri: https://open.weixin.qq.com/connect/oauth2/authorize
            token-uri: https://api.weixin.qq.com/sns/oauth2/access_token
            user-info-uri: https://api.weixin.qq.com/sns/userinfo

而后你能够在微信环境中调用 http:// 域名 /oauth2/authorization/wechat 试试成果。

关注公众号:Felordcn 获取更多资讯

集体博客:https://felord.cn

正文完
 0